Baza wiedzy

Ministerstwo Cyfryzacji w dniu 28 marca 2017 r. opublikowało nowy projekt ustawy o ochronie danych osobowych. Nowa ustawa ma stanowić element procesu wdrożenia do krajowego porządku prawnego ogólnego rozporządzenia unijnego o ochronie danych osobowych (GDPR/RODO). Rozporządzenie unijne zawiera bowiem kilkadziesiąt przepisów, które mogą być doprecyzowane w drodze ustawodawstw każdego państwa członkowskiego UE.

Co więc kryje w sobie projekt nowej ustawy?

Jakie obszary reguluje projekt nowej ustawy?

Zdecydowana większość zagadnień związanych z unijną reformą ochrony danych osobowych została już uregulowana w treści samego ogólnego rozporządzenia unijnego o ochronie danych (GDPR/RODO). Przepisy te obowiązują bezpośrednio w każdym państwie członkowskim, a ich stosowanie rozpocznie się w dniu 25 maja 2018 r.

Ustawodawca unijny pozostawił jednak pewne obszary prawne, których regulacja może zostać doprecyzowana w ustawodawstwach lokalnych. Jakie więc zagadnienia zostały wprowadzone do projektu polskiej ustawy o ochronie danych osobowych? Oto one:

• zagadnienia ogólne,

• zagadnienia związane z postępowaniem w sprawie naruszenia przepisów o ochronie danych osobowych,

• kwestie związane z europejską współpracą administracyjną,

• postępowania kontrolne,

• doprecyzowanie zasad związanych z nakładaniem administracyjnych kar pieniężnych,

• odpowiedzialność cywilna,

• zagadnienia dotyczące inspektorów ochrony danych.

W niniejszym artykule przedstawiam kluczowe regulacje projektu ustawy, które odnoszą się do: zagadnień ogólnych, związanych z postępowaniem w sprawie naruszenia przepisów ochrony danych, postępowań kontrolnych oraz zagadnień dotyczących inspektorów ochrony danych.

W kolejnym artykule przedstawię wizję Ministerstwa Cyfryzacji odnośnie stosowania w Polsce administracyjnych kar pieniężnych oraz innych sankcji przewidzianych w projekcie ustawy o ochronie danych osobowych.

Przepisy ogólne - zgoda dziecka i dobre praktyki

Rozdział ten doprecyzowuje dwa obszary wynikające z GDPR.

Po pierwsze art. 8 unijnego rozporządzenia o ochronie danych osobowych reguluje zasady pozyskiwania zgód na przetwarzanie danych osobowych dzieci korzystających z tzw. usług społeczeństwa informacyjnego (np. gry internetowe, które wymagają podania danych osobowych). GDPR wskazuje, że w przypadku gdy pozyskiwana jest zgoda na przetwarzanie danych od dziecka, które nie ukończyło 16 lat, zgodę taką w imieniu dziecka musi wyrazić osoba sprawująca nad nim władzę rodzicielską lub opiekę.

Ale jednocześnie GDPR pozwala państwom członkowskim UE obniżyć tą granicę wieku maksymalnie do 13 lat. I dokładnie tą granicę wieku wprowadzono w projekcie polskiej ustawy o ochronie danych osobowych. Czyli zgodnie z projektem zgoda osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem na przetwarzanie jego danych osobowych będzie wymagana wówczas gdy dziecko nie ukończyło 13 roku życia.

Druga kwestia uregulowana w tym rozdziale projektu ustawy to obowiązek opracowywania i udostępniania na swojej stronie internetowej przez organ nadzorczy tzw. dobrych praktyk przetwarzania danych osobowych. Będzie to rodzaj wytycznych dla administratorów danych i podmiotów przetwarzających dane (tzw. processorów) zawierających rekomendowane środki techniczne i organizacyjne, które powinny być stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Te dobre praktyki będą miały charakter "miękkich", niewiążących zaleceń i nie będą zwalniały z obowiązku indywidualnego określenia czy są one wystarczające w konkretnym stanie faktycznym. Innymi słowy każdy podmiot nadal będzie musiał przeprowadzać indywidualną ocenę ryzyka, aby określić niezbędne środki bezpieczeństwa (tak jak przewiduje to GDPR).

Ale dobre praktyki bez wątpienia będą mogły stanowić wskazówkę. To, że będą istniały takie wskazówki jest bardzo istotne, ponieważ w obecnym stanie prawnym w Polsce mamy narzucone pewne minimalne środki bezpieczeństwa, które musi stosować praktycznie każdy podmiot (wynikają one z  Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., którego pełną treść znajdziesz TUTAJ, a które przestanie obowiązywać od 25 maja 2018 r.).

Dobre praktyki w pewnym sensie zastąpią więc treść Rozporządzenia - tzn. nie będą prawnie wiążące, ale będą stanowiły pewną "podpowiedź". A to dla wielu Administratorów danych będzie bardzo istotne biorąc pod uwagę, że dzisiaj przyzwyczajeni są raczej do bazowania na tym co jest obligatoryjnie wymagane, a nie na samodzielnej ocenie.

Dobre praktyki mają uwzględniać konkretne rodzaje działalności - zobaczymy jak to wyjdzie w praktyce organowi nadzorczemu.

I jeszcze jedna kwestia - organ nadzorczy zmieni swoją nazwę. Generalny Inspektor Ochrony Danych Osobowych przejdzie do historii, a zastąpi go Prezes Urzędu Ochrony Danych Osobowych.

Akredytacja i certyfikacja

Kolejny rozdział projektu ustawy odnosi się do:

• zasad akredytacji podmiotów, które będą mogły przeprowadzać certyfikację zgodnie z wymogami GDPR;
• zasad przeprowadzania samej certyfikacji przez podmioty akredytowane.

I tu ważna kwestia - zgodnie z założeniami Ministerstwa Cyfryzacji i głoszonymi wcześniej zapowiedziami organ nadzorczy (według nowej nazwy Prezes Urzędu Ochrony Danych Osobowych) nie będzie mógł samodzielnie certyfikować Administratorów danych oraz podmiotów przetwarzających dane. Będzie natomiast kompetentny w kwestii wskazywania kryteriów akredytacji oraz akredytowania podmiotów, które mogą przeprowadzać taką certyfikację (tak z resztą stanowi również GDPR).

Kryteria akredytacji podmiotów certyfikujących Prezes Urzędu Ochrony Danych Osobowych będzie ogłaszał w Biuletynie Informacji Publicznej. Z kolei podmioty spełniające te kryteria będą mogły ubiegać się o przyznanie akredytacji. Organ nadzorczy będzie uprawniony do przeprowadzania czynności sprawdzających u podmiotu certyfikującego (zarówno przed przyznaniem certyfikatu jak i w trakcie jego obowiązywania). Udzielenie akredytacji będzie odpłatne, przy czym Ministerstwo Cyfryzacji jeszcze nie wskazało w projekcie jakiego rzędu będą to opłaty.

Jeżeli konkretny podmiot uzyska akredytację, będzie mógł certyfikować Administratorów danych oraz podmioty przetwarzające w zakresie spełnienia przez nie określonych wymagań GDPR. Co istotne, taka certyfikacja będzie miała charakter całkowicie dobrowolny. Czyli konkretny Administrator danych lub podmiot przetwarzający, który będzie zainteresowany uzyskaniem takiego certyfikatu, będzie musiał zgłosić się do jednego z podmiotów certyfikujących z wnioskiem o udzielenie certyfikacji.

Podmiotowi certyfikującemu będzie przysługiwało prawo dokonania czynności sprawdzających u Administratora danych lub podmiotu przetwarzającego, który wystąpił z wnioskiem o udzielenie certyfikatu. Sam certyfikat ma być z kolei nadawany na podstawie oceny przekazanych dokumentów, które zainteresowany podmiot załączy do wniosku o udzielenie certyfikacji. Podobnie jak akredytacja, również certyfikacja będzie miała charakter odpłatny, przy czym jeszcze nie wskazano jakiego rzędu będą to opłaty. Z projektu ustawy wynika natomiast, że będzie wskazana górna granica tej opłaty, co ograniczy możliwość dowolnego kreowania cen przez podmioty certyfikujące z tytułu udzielanej certyfikacji.

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

Kolejny rozdział projektu ustawy odnosi się do zasad prowadzenia postępowań w zakresie naruszenia ochrony danych osobowych przez Prezesa Urzędu Ochrony Danych Osobowych.

I od razu bardzo ważna informacja - Ministerstwo Cyfryzacji planuje wprowadzić zasadę jednoinstancyjności w postępowaniu Prezesa Urzędu Ochrony Danych Osobowych. W założeniu ma to przyśpieszyć możliwość zastosowania sądowych środków odwoławczych od decyzji wydawanych przez Prezesa Urzędu (w dzisiejszym stanie prawnym aby móc skorzystać ze skargi do Wojewódzkiego Sądu Administracyjnego na decyzję wydaną przez GIODO, trzeba najpierw wnieść wniosek do Generalnego Inspektora o ponowne rozpatrzenie sprawy. Dopiero gdy ponownie wydana decyzja administracyjna przez GIODO jest niezgodna z oczekiwaniami strony postępowania, może ona wnieść skargę do WSA).

Kolejna ważna kwestia, to możliwość zastrzeżenia poufności informacji, dokumentów lub ich części, które są przekazywane przez stronę postępowania do Prezesa Urzędu jeżeli zawierają one tajemnicę przedsiębiorstwa.  Rozwiązanie to ma chronić przedsiębiorstwa przed niekontrolowanym dostępem do ich tajemnic przez inne strony postępowania, które przecież mogą być podmiotami konkurencyjnymi (w tym celu przedsiębiorcy będą mogli składać wniosek o ograniczenie wglądu do materiału dowodowego zawierającego tajemnice przedsiębiorstwa).

Inną planowaną kompetencją Prezesa Urzędu Ochrony Danych Osobowych będzie możliwość wydania postanowienia jeszcze w toku prowadzonego postępowania sprawdzającego (a więc przed wydaniem decyzji w sprawie), na mocy którego Prezes Urzędu będzie mógł zobowiązać podmiot, któremu zarzucane jest naruszenie przepisów o ochronie danych osobowych, do ograniczenia przetwarzania danych osobowych wskazując przy tym dopuszczalny zakres tego przetwarzania i czas obowiązywania tego ograniczenia. Taka sytuacja będzie mogła mieć miejsce jeżeli w toku prowadzonego przez organ nadzorczy postępowania zostanie uprawdopodobnione, że przetwarzanie danych narusza przepisy, a dalsze ich przetwarzanie może spowodować poważne i trudne do usunięcia skutki.

Postępowanie kontrole

Organ nadzoru będzie również posiadał nowe podstawy prawne dotyczące zasad przeprowadzania kontroli. Dedykowany temu zagadnieniu rozdział projektu ustawy przewiduje możliwość przeprowadzania przez organ nadzorczy kontroli:

• zgodnie z zatwierdzonym wcześniej planem kontroli,

• poza planem kontroli - na podstawie uzyskanych przez Prezesa Urzędu informacji lub też przeprowadzonych analiz (czyli zostanie poszerzona możliwość podejmowania decyzji o uruchomieniu kontroli ad hoc, poza uzgodnionym wcześniej planem - w oparciu o przeprowadzane na bieżąco analizy).

Projekt ustawy przewiduje również kilka innych bardzo istotnych uprawnień organu nadzorczego w zakresie przeprowadzanej kontroli.

Po pierwsze, wskazuje zakres uprawnień kontrolnych przysługujących osobom kontrolującym.
W celu uzyskania informacji mogących stanowić dowód w sprawie mają one mieć prawo do:

• wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń;

• wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli;

• przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

• żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego.

Co istotne kontrolującym w trakcie przeprowadzanej kontroli ma przysługiwać prawo korzystania z pomocy funkcjonariuszy innych organów kontroli państwowej lub Policji, które mają wykonywać czynności na polecenie kontrolującego. Jest to całkowita nowość do tej pory zupełnie nieznana w polskim ustawodawstwie z zakresu ochrony danych osobowych.

W uzasadnionych przypadkach przebieg kontroli lub poszczególnych czynności będzie mógł być utrwalany przy pomocy urządzeń rejestrujących obraz i dźwięk (po uprzednim poinformowaniu o tym fakcie kontrolowanego). Nagrania zapisane na nośnikach danych będą w takim wypadku stanowiły załączniki do protokołu z kontroli.

Przebieg postępowania kontrolnego będzie przedstawiany w protokole kontrolnym. Samo zaś postępowanie kontrolne nie będzie mogło trwać dłużej niż miesiąc od dnia rozpoczęcia czynności kontrolnych.

Trzeba będzie zgłaszać inspektorów ochrony danych do rejestru Prezesa Urzędu Ochrony Danych Osobowych

Opracowany przez Ministerstwo Cyfryzacji projekt ustawy przewiduje również - na wzór obowiązującej aktualnie ustawy - obowiązek zgłaszania przez Administratorów danych wyznaczonych przez siebie inspektorów ochrony danych. Jak pisałem już w innym artykule (dostępnym TUTAJ), zgodnie z wymaganiami art. 37 GDPR niektórzy Administratorzy danych będą zobligowani do wyznaczenia inspektora ochrony danych, inni zaś będą mogli sami zdecydować czy chcą wyznaczyć taką osobę.

Jak się okazuje, samo wewnętrzne wyznaczenie inspektora ochrony danych nie wystarczy i informację o powołaniu jej trzeba będzie również przekazać do Prezesa Urzędu Ochrony Danych Osobowych.

Wbrew propozycji dzisiejszego organu nadzorczego (GIODO) osoby aktualnie pełniące funkcję Administratorów Bezpieczeństwa Informacji nie staną się "automatycznie" inspektorami ochrony danych w momencie rozpoczęcia stosowania GDPR. Projekt ustawy przewiduje, że osoby pełniące funkcję ABI w dniu 24 maja 2018 r. (a więc na dzień przed rozpoczęciem stosowania GDPR) będą pełniły funkcję inspektora ochrony danych do dnia 1 września 2018 roku.

Jeżeli będą chciały pełnić tą funkcję również po tej dacie, będą musiały być oficjalnie zgłoszone przez podmioty, które je powołały do Prezesa Urzędu Ochrony Danych Osobowych.

Jeśli chcesz poznać szczegóły w jaki sposób należy realizować poszczególne zadania Administratora Bezpieczeństwa Informacji, a także w jaki sposób skutecznie stworzyć tą funkcję w organizacji, zapraszam do lektury mojego bezpłatnego eBooka "Zawód - Administrator Bezpieczeństwa Informacji".

eBook można pobrać na stronie głównej www.odoekspert.pl.